¿Compraste una TV box para ver películas gratis? Tu televisor podría estar ahora al servicio de los hackers
El grupo Kimwolf obtuvo el control de la mayor red de cajas Android infectadas
Los ciberdelincuentes que controlan el botnet Kimwolf parecen haber decidido presumir de una presa realmente importante. En la red apareció una captura de pantalla en la que se ve que obtuvieron acceso al panel de control de Badbox 2.0, uno de los mayores botnets del mundo, asociado con millones de decodificadores Android TV infectados de fabricación china. Según el FBI y Google, Badbox 2.0 ha sido objeto de una caza desde hace tiempo, y ahora, gracias a la filtración, se comprende mejor quién podría estar detrás de esta infraestructura.
Kimwolf ya ha infectado más de 2 millones de dispositivos y es conocido por sus métodos agresivos de propagación. Principalmente se trata de decodificadores Android TV ilegales que se venden como "receptores con acceso gratuito a películas y series" por un pago único. El malware se instala antes de la venta del dispositivo o llega durante la configuración inicial a través de aplicaciones falsas y tiendas no oficiales.
Anteriormente, los investigadores ya habían identificado a los administradores de Kimwolf por los alias Dort y Snow. Ahora un antiguo colaborador de esas personas entregó a periodistas una captura supuestamente tomada del panel de control de Badbox 2.0. En la imagen se ven 7 cuentas autorizadas, y una de ellas, con el nombre ABCD, según la fuente, pertenece a Dort. Se presume que pudo añadir su correo electrónico como usuario legítimo del sistema de gestión del botnet.
Badbox tiene una larga historia. Ya en 2023 se detectó el primer botnet con ese nombre, y en 2024 su infraestructura fue parcialmente interrumpida. Sin embargo, en 2025 apareció una nueva versión, Badbox 2.0, que, según las estimaciones de Google, incluía más de 10 millones de dispositivos Android no certificados y se utilizó para fraude publicitario y la infección de redes domésticas. El FBI advirtió entonces que esos dispositivos pueden dar a los atacantes acceso directo a las redes locales de los usuarios.
El análisis de las direcciones de correo electrónico de la captura filtrada llevó a los investigadores a varias empresas tecnológicas chinas y a personas concretas vinculadas al desarrollo de aplicaciones móviles y a la infraestructura de dominios que ya habían aparecido en informes sobre Badbox 2.0. En particular, los nombres Chen Daihai y Zhu Zhiyu resultaron relacionados con el registro de dominios, empresas y direcciones que ya se mencionaban en las investigaciones sobre ese botnet.
El peligro principal es otro. Kimwolf se propaga a través de dispositivos IoT vulnerables dentro de las redes domésticas, utilizando servicios de proxy residenciales. Tras el cierre de esa vía por parte de muchos proveedores de proxy, la velocidad de propagación de Kimwolf comenzó a disminuir. Pero si los administradores de Kimwolf realmente tienen acceso no autorizado al panel de control de Badbox 2.0, obtendrían un canal directo para instalar malware en millones de decodificadores Android TV que ya forman parte de ese botnet.
Según la fuente, eso fue la "carta secreta" de los operadores de Kimwolf: la capacidad de subir directamente malware a los decodificadores de Badbox 2.0, eludiendo la infraestructura de proxies. Aún no se sabe cómo se obtuvo el acceso al panel de control. Los investigadores ya han notificado a todos los propietarios de las cuentas que aparecen en la captura, por lo que el acceso de Dort podría cerrarse en breve.
Si la información se confirma, esto supondría un caso raro de intersección entre dos grandes ecosistemas de botnets y una seria escalada de la amenaza para las redes domésticas de usuarios en todo el mundo, especialmente para quienes usan decodificadores Android TV económicos no oficiales.